本文介紹如何在Linux系統中追蹤失敗的ssh登錄嘗試。不同Linux發行版保存日志的位置略有不同，Debian/Ubuntu系統通常在/var/log/auth.log，而RHEL/centos系統則在/var/log/secure。

方法一：使用文本編輯器

1. 打開終端。
2. 使用sudo權限打開相應的日志文件，例如在Ubuntu系統中： sudo nano /var/log/auth.log 或在CentOS系統中： sudo nano /var/log/secure。
3. 使用編輯器的搜索功能（通常是/鍵），搜索關鍵詞”Failed”或”authentication failed”來查找失敗的登錄記錄。

方法二：使用grep命令

grep命令提供更強大的搜索功能。 在終端輸入以下命令，即可篩選出包含”Failed”字樣的日志行：

• Ubuntu/Debian: sudo grep “Failed” /var/log/auth.log
• RHEL/CentOS: sudo grep “Failed” /var/log/secure

為了更精準的定位，可以使用-n選項顯示行號，或-C選項顯示上下文信息：

• 顯示行號：sudo grep -n “Failed” /var/log/auth.log
• 顯示上下文：sudo grep -C 5 “Failed” /var/log/auth.log (顯示匹配行前后5行)

通過以上方法，您可以快速有效地定位并分析Linux系統中失敗的SSH登錄嘗試，及時發現并解決潛在的安全問題。